최근 국내 주요 기업의 홈페이지에 악성 스크립트를 삽입해 특정 타깃만을 대상으로 악성코드를 다운로드 받아 실행시키는 타깃형 워터링 홀 공격이 확인되고 있다.

이에 한국인터넷진흥원 종합분석팀과 사고분석팀은 최근 ‘TTPs#6 타깃형 워터링홀 공격전략 분석’ 보고서를 발표했다. 해당 보고서에는 타깃형 워터링홀 공격으로 인한 악성코드 감염, 정보유출을 수행하는 공격그룹의 TTP를 상세히 공개했다.

보고서에서는 “공격자의 TTP는 언제나 방어 환경의 특성과 맞물려 있다. 그래서 방어자는 방어 환경에 대해 정확히 이해하고 있어야 하며, 공격의 흐름과 과정을 패턴이나 기법이 아닌 전략 전술 관점으로 보아야 한다. 방어자의 환경과 공격자의 TTP는 함께 이야기 되어야 한다”고 강조한다.

이번 타깃형 워터링 홀 공격에 대한 TTP 보고서에서는 워터링홀을 통한 최초 침투 방법과 신규 확인된 2종의 악성코드를 통한 원격제어부터 유출 과정에서 확인된 공격 전략과 FENS시스템을 통해 기존 그룹화된 악성코드들과의 유사성 정보에 관해 확인해 보며, 나아가 카스퍼스키와 멀웨어바이츠(Malwarebytes) 보고서에서 확인된 악성코드들에서 확인된 특징을 비교해 보여준다.

◇타깃형 워터링 홀 공격 전략

타깃형 워터링 홀 공격은 다음과 같은 순으로 진행된다.

1. 정 찰

정찰단계에서 공격자는 공격 대상을 선정하는 작업을 수행한다. 기법이 확인되지는 않았으나, 워터링홀 공격 대상의 아이피 필터링을 위해 정찰단계에서 공격 대상의 아이피를 수집한 것으로 보인다.

2. 자원 개발

공격에 활용할 인프라를 구축하는 단계이다. 정보유출, 명령 제어 등을 위해 기존에 노출되지 않은 인프라를 확보한다. 일부 기업의 서버를 탈취하거나 호스팅 및 도메인을 가상자산을 통해 임대하고 공격에 필요한 악성코드를 직접 제작하여 사용한다.

3. 최초 침투

정찰단계에서 수집한 정보 및 공격 자원을 확보한 후 침투를 시도한다. 최초 침투를 위해 타깃형 워터링홀 공격을 수행했으며, 이 과정에서 기존에 수집한 정보를 바탕으로 감염대상을 필터링한다. 또 목표 기업이 사용 중인 소프트웨어의 취약점을 통해 악성코드를 다운로드받아 감염시킨다.

4. 실 행

목표 기업이 사용 중인 소프트웨어의 취약점을 통해 공격자의 서버에서 악성코드를 다운로드받아 실행시킨다.

5. 지속성 유지

원격제어 악성코드의 원격 명령기능(CMD Command)를 이용해 레지스트리와 스케줄러에 원격제어 악성코드를 등록시켜 지속성을 유지한다.

6. 방어 회피

공격자는 윈도우 정상 유틸리티인 mshta.exe를 악용해 악성코드를 다운로드받고 실행시킨다. 또한 설치된 악성코드는 정상 프로그램명으로 설치되었으며, 설치경로 역시 실제 사용되는 경로에 설치되었으며, 백신, 보안장비 등의 탐지 우회를 악성코드가 사용하는 문자들 등을 모두 인코딩했다.

7. 탐 색

악성코드는 감염 시 감염대상의 시스템 정보를 수집해 공격자의 명령제어지로 수집한 정보를 전달한다.

8. 수 집

원격제어 악성코드를 통해 감염 시스템에서 키로깅, 스크린 캡처 기능을 통한 현재 피해 시스템의 상황을 수집하고, CMD

명령 등의 기능을 이용해 피해 시스템의 정보 및 사용자 파일 등의 다양한 정보를 수집한다.

9. 유 출

수집한 정보는 외부로 유출했으며, 유출시 수집한 정보를 인코딩해 공격자의 서버로 전달한다.

◇”공격자의 TTP는 쉽게 변하지 않는다”

보고서에 따르면, 공격자는 공격 전에 서비스를 통한 서버자원을 확보하고 서드파티 프로그램에 대한 취약점 연구를 선행했다. 이후 공격대상이 빈번하게 접속하는 사이트에 악성 스크립트 및 익스플로잇을 삽입해 타깃형 워터링홀 공격을 수행한다.

사이트 접속시 선별된 공격 대상에게만 악성코드를 설치했으며 특정 소프트웨어의 취약점을 이용해 실행시켰다. 실행된 악성코드는 감염된 시스템에 추가 악성코드 다운로드 후 내부자료 중요 자료를 선별·탈취했다.

이 과정에서 확인된 주요 특징 중 하나는 기존에 알려진 악성코드가 아닌 신규 악성코드를 제작해 공격을 수행했다는 것이며, 해당 악성코드의 특징 및 유사도를 분석한 결과 기존에 다른 특정 그룹의 악성코드와의 유사성을 확인할 수 있었다. 이는 해당 공격그룹이 신규 악성코드를 제작해 사용했지만, 악성코드의 TTP는 크게 바뀌지 않았다는 것이다.

기존에 한국인터넷진흥원 TTP 보고서에서 확인된 것처럼 새로운 전략과 기술을 구축하고 공격에 사용하기에는 오랜 시간이 걸리기 때문에 공격자의 TTP는 쉽게 변하지 않는다.

이번에 한국인터넷진흥원에서 확인한 공격 기법은 타깃형 워터링홀 공격을 통한 침투이었으나, 외부보고서에서는 스피어피싱을 통한 공격이었다. 이는 공격자가 피해기업 환경에 맞추어 TTP를 변화해 가며 공격을 수행한다는 것을 말해준다.

이처럼 공격자는 공격 대상에 맞는 침투 방법, 소프트웨어 취약점 탐색, 그리고 신규 악성코드를 개발해 가며 여러 기업을 공격하고 있다.

이번 보고서 작성팀은 “공격자의 모든 위협을 막기란 쉽지 않다. 다만 공격의 전체 시나리오에서 최종 목적에 도달하기 전까지의 구간 중 하나의 구간이라도 방어를 한다면 공격자의 공격을 늦추고, 공격의 탐지의 가능성을 높일 수 있다”며 “그렇기 때문에 보안연구자들은 공격자의 TTP를 각 공격 구간별로 사용된 기술을 정확히 식별하고 공격자의 행동에 맞춰 공격자의 자원을 효율적으로 무력화할 수 있는 방안에 대해 연구해야 한다”고 강조했다.

이번 타깃형 워터링홀 공격전략 분석 보고서는 KISA 종합분석팀 김동욱 선임, 이슬기 선임, 이태우 선임, 이재광 팀장 그리고 사고분석팀 윤지노 선임, 윤민아 주임, 김광연 팀장 등이 참여했다.

보고서 다운로드는 KISA 보호나라 자료실과 데일리시큐 자료실에서도 가능하다.

---

[AIS 2021] 국내 최대 인공지능·머신러닝 정보보호 컨퍼런스에 여러분을 초대합니다!

-인공지능·머신러닝 적용 정보보호 기술과 위협 정보 공유의 장

-2021년 9월 16일 온라인 개최

-공공·금융·기업 정보보호 관계자라면 누구나 무료참석

-보안교육7시간 이수증 발급

-사전등록: 클릭

★정보보안 대표 미디어 데일리시큐!★